Ed 03/95 PAQ 1530 NON URGENTE (INFO PRODUIT) TEMPORAIRE DEFINITIVE



Documents pareils
Ed 03/95 PAQ 1530 NON URGENTE (INFO PRODUIT) TEMPORAIRE DEFINITIVE

NON URGENTE TEMPORAIRE DEFINITIVE OBJET : RÉCUPÉRATION DES DONNÉES CLIENT SUR DISQUE DUR DÉFECTUEUX OU INVALIDÉ

Introduction. Adresses

LAB : Schéma. Compagnie C / /24 NETASQ

NON URGENTE TEMPORAIRE DEFINITIVE. OBJET : INSTALLATION ET EXPLOITATION DU LOGICIEL OmniPCX Enterprise PC INSTALLER V3.4 SOMMAIRE

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence :

Le protocole ARP (Address Resolution Protocol) Résolution d adresses et autoconfiguration. Les protocoles ARP, RARP, TFTP, BOOTP, DHCP

Administration UNIX. Le réseau

Ce manuel vous accompagne au long des procédures d installation et de restauration de PheBuX 2004 [alternative solutions]

Organisation du module

Guide d utilisation Business Livebox

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Couche application. La couche application est la plus élevée du modèle de référence.

Chap.9: SNMP: Simple Network Management Protocol

Objet : Guide d'installation et de maintenance pour "My IC Phone 8082" connecté à un OmniPCX Office R810

Protocoles DHCP et DNS

GenIP 30i : Passerelle intelligente dédiée aux applications industrielles les plus critiques

Services Réseaux - Couche Application. TODARO Cédric

Figure 1a. Réseau intranet avec pare feu et NAT.

SECURITE. Figure 1. Incident réseau, source CERT. Nombre. Sécurité

Administration Réseau sous Ubuntu SERVER Serveur DHCP

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

SSH, le shell sécurisé

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

Direction des Systèmes d'information

CONFIGURATION FIREWALL

NON URGENTE TEMPORAIRE DEFINITIVE. SUBJECT : PROCÉDURE DE MISE EN SERVICE DE LA VERSION F e RELEASE 6.2

NetCrunch 6. Superviser

pfsense Manuel d Installation et d Utilisation du Logiciel

Devoir Surveillé de Sécurité des Réseaux

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

1 INTRODUCTION 2 2 PRE-REQUIS Export du certificat du serveur Date et heure du système Téléchargement du logiciel du terminal 2

COMMUNICATION TECHNIQUE N TCV060 Ed. 01. OmniVista 4760 Nb de pages : 18 Date : URGENTE NON URGENTE TEMPORAIRE DEFINITIVE

SOMMAIRE : CONFIGURATION RESEAU SOUS WINDOWS... 2 INSTRUCTIONS DE TEST DE CONNECTIVITE... 5

Test d un système de détection d intrusions réseaux (NIDS)

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Dans le cadre de SECURIDAY Et sous le thème de Computer Forensics Investigation SECURINETS. Analyse des fichiers LOG. Tarek LABIDI (RT3)

Configuration automatique

Département R&T, GRENOBLE TCP / IP

Installation d'un FreeNAS (v0.684b du 30/03/2007) pour sauvegarder les données d'un ZEServer

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Dynamic Host Configuration Protocol

Documentation : Réseau

Présentation du modèle OSI(Open Systems Interconnection)

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. DHCP Prénom : Nom : Groupe :

Mise en place de la G4100 pack avec Livebox

Culture informatique. Cours n 9 : Les réseaux informatiques (suite)

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

WINDOWS NT 2000: Travaux Pratiques. -Boîtier partage d'imprimante- Michel Cabaré Janvier 2002 ver 1.0

L3 informatique Réseaux : Configuration d une interface réseau

UCOPIA EXPRESS SOLUTION

Tutorial Terminal Server sous

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

wiki.ipfire.org The official documentation for IPFire - An Open Source Firewall Solution Outils

Microsoft Windows NT Server

A. Présentation. LanScanner2006

SECURIDAY 2012 Pro Edition

ETI/Domo. Français. ETI-Domo Config FR

TP 1 : LES COMMANDES RESEAUX Matière: RESEAUX LOCAUX

TP Sur SSH. I. Introduction à SSH. I.1. Putty

eurobraille VOYONS ENSEMBLE MANUEL D'UTILISATION WIFI iris 40, 20 iris-s 32, 20 iris-kb 40,20 VERSION 1.82

Partage de fichiers entre MacOS X et Windows. Partager des fichiers, avec un PC, en travaillant sous MacOSX.

RÉCAPITULATIF DES ENJEUX ET DE LA MISE EN PLACE POLITIQUE DE SÉCURITÉ DANS UN RÉSEAU

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

BC9000-BK9000. Paramétrage et configuration de l adresse IP

Installer et configurer un réseau local Ethernet commuté. Généralités 1 Utilisation d un Switch administrable D-Link DES-3226

Alcatel OmniPCX Enterprise TSC-IP V1 (4098RE)

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

1. Fonctionnement de l Internet 2. Protocoles applicatifs 3. Programmation réseau

Sauvegardes par Internet avec Rsync

UCOPIA SOLUTION EXPRESS

TP : Introduction à TCP/IP sous UNIX

Contrôleur de communications réseau. Guide de configuration rapide DN

Commandes Linux. Gestion des fichiers et des répertoires. Gestion des droits. Gestion des imprimantes. Formation Use-IT

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

(1) Network Camera

Pour configurer le Hitachi Tecom AH4021 afin d'ouvrir les ports pour "chatserv.exe", vous devez suivre la proc

DHCP. Dynamic Host Configuration Protocol

Manuel de l utilisateur. Soft-phone - Client VoIP 3CX Version 6.0

Menaces et sécurité préventive

Cloud public d Ikoula Documentation de prise en main 2.0

2. DIFFÉRENTS TYPES DE RÉSEAUX

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Mon Sommaire. INEO.VPdfdf. Sécurisations des accès nomades

Configuration de l'accès distant

NON URGENTE TEMPORAIRE DEFINITIVE. OBJET : FONCTIONNEMENT OmniVista 4760 SUR UN RÉSEAU VPN / NAT

Parallels Plesk Panel. Module Pare-feu de Parallels Plesk Panel 10 pour Linux/Unix. Guide de l'administrateur

Partie II PRATIQUE DES CPL

Introduction aux Technologies de l Internet

Module 1 : Introduction à TCP/IP

TP réseaux Translation d adresse, firewalls, zonage

Accès aux ressources informatiques de l ENSEEIHT à distance

Sécurité des réseaux Firewalls

Transcription:

Ed 03/95 PAQ 1530 COMMUNICATION TECHNIQUE N TC0308 Date : 10-04-2002 OmniPCX 4400 Nb de pages : 9 URGENTE (FLASH PRODUIT) NON URGENTE (INFO PRODUIT) TEMPORAIRE DEFINITIVE OBJET : PRÉCAUTIONS CONTRE LES INTRUSIONS Cette communication technique annule et remplace la communication technique TC0282. Ce document fournit des recommandations et informations concernant la sécurité sur OmniPCX 4400. Leur prise en compte est à évaluer selon le degré de protection que le client veut donner à son système. Elles ne sont pas impératives pour un bon fonctionnement de l'omnipcx 4400. 1

PRÉCAUTIONS CONTRE LES INTRUSIONS OmniPCX 4400 SOMMAIRE 1 SAUVEGARDE DES DONNÉES...3 2 PROTECTION CONTRE L ACCÈS À OMNIPCX 4400...3 2.1 Mots de passe...3 2.2 Accès via modem...3 2.3 Protection contre l accès par connexion numérique via RNIS (ports de communication io2tty)...4 2.4 Datas sécurisées...4 2.5 Protection contre l accès par IP...5 2.6 Personnalisation OmniPCX 4400...6 2.7 Divers...7 2.8 Aide à la détection d attaques sur IP...7 3 LISTE DES SERVICES GÉRÉS PAR LES TCP-WRAPPERS : UTILISATION PAR LES APPLICATIONS ALCATEL...9 4 LISTE DES PORTS OUVERTS SUR OMNIPCX 4400 ET LEUR UTILISATION...11 Ed. 10-04-2002 1 TC0308

OmniPCX 4400 PRÉCAUTIONS CONTRE LES INTRUSIONS TC0308 2 Ed. 10-04-2002

PRÉCAUTIONS CONTRE LES INTRUSIONS OmniPCX 4400 Les informations données ci-dessous sont des recommandations et informations concernant la sécurité sur OmniPCX 4400. Leur prise en compte est à évaluer selon le degré de protection que le client veut donner à son système. Elles ne sont pas impératives pour un bon fonctionnement de l'omnipcx 4400. 1 SAUVEGARDE DES DONNÉES Les données du PABX doivent être sauvegardées et sont de deux types : système (configuration IP, crontabs et atjobs), téléphone (configuration du système, observation de trafic, taxation, données ACD/CCD, guides vocaux, configuration messagerie vocale). De plus, les règles élémentaires de sécurité préconisent de garder au moins une sauvegarde dans un lieu sûr. Deux types de sauvegardes sont proposées : Sauvegardes périodiques sur disque OmniPCX 4400 par mécanisme de type "éphéméride". Elles doivent être ensuite récupérées sur des machines distantes (47xx). Sauvegardes périodiques sur disquettes. Ces deux types de sauvegardes sont mutuellement exclusives. Cependant les sauvegardes immédiates sont toujours possibles. 2 PROTECTION CONTRE L ACCÈS À OmniPCX 4400 2.1 Mots de passe Tous les comptes Unix décrits dans le paragraphe 2.6 Personnalisation OmniPCX 4400 doivent être gérés avec un mot de passe qui doit : contenir au moins 6 caractères (préconisé par le système lui-même, 8 caractères maximum pris en compte pour ce type de cryptage), mixer lettres (majuscules/minuscules), chiffres, signes de ponctuation. Les comptes mtcl et mtch gèrent une temporisation d inactivité de 300s (modifiable ponctuellement par la commande timout, la valeur 0 est à proscrire). 2.2 Accès via modem Il est possible d insérer entre le modem et les ports V24, un système sécurisé de type RMA (Alcatel) ou autre. Les principales caractéristiques du RMA sont : Demande d'un login/mot de passe d entrée. Au bout de 3 tentatives infructueuses, le RMA devient indisponible de l extérieur pendant 30 min. Fonctionnement en rappel automatique selon 2 modes : un où il faut fournir un numéro à rappeler et un autre où le numéro à rappeler est pré-configuré. Ed. 10-04-2002 3 TC0308

OmniPCX 4400 PRÉCAUTIONS CONTRE LES INTRUSIONS Tous ces cas sont sélectionnés par un type de login/mot de passe. L accès à OmniPCX 4400 est effectué par un double contrôle de type login/mot de passe. Consultation des alarmes et des connexions dans des journaux de RMA. Se reporter à la documentation technique du RMA pour plus de détails. Sur les ports V24, seul le port console permet l accès direct (sur demande de login) au compte root. Ce compte est aussi accessible directement par IP (telnet, rlogin). Sur les ports 2 à 4 de la CPU, l accès à root ne se fera que par la commande su à partir d un compte quelconque. Le mot de passe sera demandé. 2.3 Protection contre l accès par connexion numérique via RNIS (ports de communication io2tty) L'accès est effectué via les applications datas. La connexion est soit via une carte IO2 ou OBCA soit en arrivée sur terminal data. Applications susceptibles d'être attaquées : type login. L accès est soumis aux mêmes règles qu un accès direct ou modem (login/mot de passe ; le compte root est autorisé). type SLIP. La connexion n'est réalisée qu avec une adresse IP cliente compatible avec celle décrite dans l application data. Le lien étant établi, l accès à OmniPCX 4400 est soumis aux mêmes règles que ci-dessus. type PPP. Même comportement que le SLIP mais une authentification peut être demandée au préalable pour la connexion (gestion Chap sous netadmin). Ce type de connexion plus sécurisé doit être préféré au SLIP. Cependant il n est supporté qu à partir de la Release 4.1. Dans tous ces cas, l appelant doit réaliser une connexion avec une machine appelante supportant le protocole V120 (protocole compatible avec l IO2 ou l OBCA ou certains terminaux data). Le protocole V110 (sur certains terminaux data) ne dialoguera qu'entre deux terminaux data supportant ce protocole. 2.4 Datas sécurisées Le but est de sécuriser les arrivées sur les terminaux data connectés à des éléments sensibles (port CPU) ou les applications datas exécutant aussi des process sensibles. Seuls les appels numériques extérieurs en arrivée sur un terminal data (dit "sécurisé") ou une OBCA ou une IO2 sont concernés. Un contrôle est effectué entre le numéro reçu (contenu dans l élément d information Numéro d origine du message d établissement) et un numéro abrégé contenant aussi ce numéro. Si la vérification est positive, l appel est accepté, sinon l appel est rejeté avec la cause Non droit au service et l'incident système 4309. Remarque Le numéro d origine contrôlé peut-être selon le cas : le NDS (Numéro de Désignation Supplémentaire) s il est fourni par le demandeur et validé par le réseau ISDN (indication donnée dans l octet 3a), TC0308 4 Ed. 10-04-2002

PRÉCAUTIONS CONTRE LES INTRUSIONS OmniPCX 4400 le NDI (Numéro de Désignation de l'installation) fourni par le réseau (indication donnée dans l octet 3a). Si le NDS et le NDI sont présents et que le NDS reçu est fourni par l usager et validé par le réseau, dans ce cas le contrôle portera sur les NDI et NDS et il suffit que l un des deux soit autorisé pour que l appel soit accepté. Un paramètre par TA (Data sécurisée) gère sa propre sécurisation et le booléen système Sécurité Data Circuit gère l ensemble des datas sécurisées. La sécurisation est faite soit sur l ensemble des connexions data soit uniquement sur les applications data. 2.5 Protection contre l accès par IP L accès à OmniPCX 4400 doit être sécurisé en appliquant le mécanisme des trusted hosts. Seules ces machines pourront dialoguer avec OmniPCX 4400. Il existe 2 groupes de trusted hosts : ceux reliés sur l interface Ethernet et ceux connectés par un autre lien (de type SLIP, PPP et tunnel). Cette gestion est réalisée avec l outil netadmin. Pour ces trusted hosts, activer le mécanisme de TCP-WRAPPER (voir 3) qui filtre les services TCP de type ftp, telnet, shell, etc. ainsi que des services de type 4400 (audit, save-restore, etc.). Cette fonctionnalité apparaît à partir de la Release 3. Pour des raisons évidentes de sécurité le gestionnaire doit être logué root et sur port console uniquement pour toute la gestion de la sécurisation. Aucun message système n'est édité si un host non répertorié dans la liste trusted essaie de se connecter à OmniPCX 4400. Un mécanisme de type anti-flooding (exemple: écroulement de l'omnipcx 4400 par inondation de trames Ethernet) est mis en place nativement sur les CPU5 et CPU6. Ce mécanisme coupe momentanément le lien Ethernet sur dépassement d'un des 3 types de seuil : seuil de trames, seuil en Koctets, seuil de diffusion (broadcast), en nombre de trames de diffusion par seconde. Des incidents sont émis lors d un flux IP trop important : incident 1565 (concerne la CPU 4400) en cas de dépassement du seuil de trames ou en Koctets, incident 1566 (concerne la CPU 4400) en cas de dépassement du seuil de diffusion, incident 4401 (concerne les coupleurs LIOE/INT-IP) en cas de dépassement du seuil de diffusion. Les seuils sont visualisables par la commande ethctl sous login root. Ils sont aussi modifiables ponctuellement par la même commande avec des arguments (help : ethctl -?). A ce jour, il n'est pas possible d avoir des seuils différents de l initialisation après un redémarrage. Il est fortement recommandé d insérer des équipements extérieurs de type Lan-switches pour assurer la sécurisation du système. De plus, vous devez gérer un plan d adressage IP de l OmniPCX 4400 avec un subnet dédié. Note Les équipements TSC-IP doivent être aussi connectés sur ce type de matériel. Ed. 10-04-2002 5 TC0308

OmniPCX 4400 PRÉCAUTIONS CONTRE LES INTRUSIONS 2.6 Personnalisation OmniPCX 4400 Les comptes dont le mot de passe est gérable par l administrateur (commande passwd sous root) sont : mtcl, mtch, client, adfexc (à mettre en concordance avec les applications de gestion), kermit, dhs3pms, dhs3mt, at4400, nmcmao, pcmao, ppp, install, halt, root, mntple (sur certaines machines; ce compte n'est pas systématiquement présent), sync, swinst (à partir de la version C1.522). Les autres comptes systèmes ne peuvent pas être modifiés. Bien que l OmniPCX 4400 permet un certain niveau de personnalisation, celle-ci n est pas supportée (exemple : rajout/ suppression de comptes, etc.). En effet, des problèmes peuvent apparaître dus aux mécanismes d installation, à certains scripts et à l impossibilité de sauvegarder automatiquement ces modifications avec swinst. La personnalisation OmniPCX4400 autorisée concerne : tout ce qui est gérable par netadmin, les crontabs et atjobs, la gestion des ports séries non dupliqués (setup de communication et ouverture/fermeture du port), les mots de passe. Cependant ceux-ci ne sont pas sauvegardés par swinst, il faut procéder par recopie du fichier /etc/passwd. Toute autre modification dans l operating system reste sous la responsabilité de l installateur ou du client final. TC0308 6 Ed. 10-04-2002

PRÉCAUTIONS CONTRE LES INTRUSIONS OmniPCX 4400 2.7 Divers Le mécanisme de shadow des mots de passe n est pas implémenté dans OmniPCX 4400. Le serveur tftpd de l'omnipcx 4400 utilisé par les équipements TSC-IP a été modifié pour être protégé contre les écritures et lectures (les put seront refusés systématiquement et les get seront refusés sur tous les répertoires autres que celui utilisé pour le téléchargement des IP Phones). Les équipements IP de type CPU et postes IP ont un agent snmp embarqué. Ils sont protégés contre les opérations de type set de la manière suivante : CPU : l opération peut être effectuée mais elle n est pas prise en compte par le système. Postes IP : l opération peut être effectuée, elle est prise en compte mais cela n aura aucune influence sur le fonctionnement téléphonique des postes. De plus les données modifiées sont en mémoire volatile et seront perdues au reset du poste. On reviendra à l état initial. A partir de la version C1.714.3.t, l'incident 1125 est émis (consultable par incvisu) lorsque l on se logue sur le système en tant qu'utilisateur mtcl ou mtch et à chaque première connexion à la base de données. Cet incident décrit l'utilisateur et le type de connexion [lors d un login ou lors d une connexion par l'application mgr (nommée MANAGER dans l incident) ou par l'application 47xx (avec le nom netbios du PC)]. A la date de ce jour, cette nouvelle exploitation n est pas encore reportée dans d autres versions. 2.8 Aide à la détection d attaques sur IP Il est possible de mettre en œuvre des traces noyau de type syslog afin de surveiller certaines connexions à OmniPCX 4400 (exemple : ftp, rlogin, rsh, etc.). Cette fonction doit être activée manuellement ; la surveillance des fichiers log ainsi que le lancement automatique de l outil reste sous la responsabilité de l installateur ou du client final. Sa mise en œuvre est la suivante : se loguer root sous /chetc, créer un fichier syslog.conf contenant les informations suivantes : *.<type><tabulation><un_nom_de_fichier_log> avec <type> qui peut être : info debug warn notice Il peut y avoir une ou plusieurs lignes selon le type d'informations souhaitées. Le fichier log peut être le même ou être différent pour toutes les lignes. Le(s) fichier(s) log doivent être nommés avec leur chemin complet. Ils peuvent être aussi un device (exemple : un port v24), créer le(s) fichier(s) de log vides (sauf en cas de sortie sur ports V24), Ed. 10-04-2002 7 TC0308

OmniPCX 4400 PRÉCAUTIONS CONTRE LES INTRUSIONS lancer syslogd (il tournera sans se tuer à la sortie du shell), le relancer après chaque redémarrage, les fichiers sont horodatés, au redémarrage du PABX, relancer le process. Détection des mouvements sur les tables ARP. Pour obtenir des informations suite à des modifications apportées sur les tables ARP (messages arp moved, etc.), taper la commande dklog a. Détection des modifications des routes. Avec la commande route liste, les routes modifiées ont le flag marqué "D" ou "d" (trame IP de type icmp redirect). La cause peut cependant être tout à fait normale. Il est possible de compter le nombre de trames de ce type avec la commande smstat -s grep redirect (login root). Usurpation d adresse IP. Un message système est émis sur le port console (duplicate IP address avec l adresse MAC de la machine pirate). De plus, la même information est stockée en mémoire sur la carte CPU et lisible avec la commande dklog -a. Il n y a pas d enregistrement quelconque sur disque. TC0308 8 Ed. 10-04-2002

PRÉCAUTIONS CONTRE LES INTRUSIONS OmniPCX 4400 3 LISTE DES SERVICES GÉRÉS PAR LES TCP-WRAPPERS : UTILISATION PAR LES APPLICATIONS ALCATEL Dans le menu netadmin m/security/trusted Hosts, si vous répondez Non aux 2 questions (Accept/Deny) concernant les services à valider/dévalider, la liste ci-dessous des différents services est proposée. Services Explication Do you want to allow FTP service (y/n, Machines de gestion 47xx pour les opérations de default is y)? save/restore, de collecte de tickets et de rapatriement du modèle objet. Do you want to allow TELNET service (y/n, default is y)? Toutes machines de gestion 47xx ou autre voulant se connecter à cette machine via Telnet. Do you want to allow SHELL (rsh, rcp) service (y/n, default is y)? Pas d impact sur des machines Windows. Alcatel 4755 : utilisé en télémaintenance. Utilisé pour l application rload de chargement à distance. Do you want to allow LOGIN (rlogin) service Pas d impact sur des machines Windows. (y/n, default is y)? Alcatel 4755 : utilisé en télémaintenance. Do you want to allow TFTP service (y/n, Téléchargement des postes IP Phones. default is y)? Do you want to allow NETACCESS (47xx, Les machines de gestion 47xx (gestion, management machines) service (y/n, default is n)? notifications d alarme) et la gestion inter-réseau (process CMISD/ABCA). Do you want to allow RCSTA service (y/n, Tout ce qui concerne les machines utilisant le default is n)? Do you want to allow SAVEREST service (y/n, default is n)? Do you want to allow RTEST service (y/n, default is n)? Do you want to allow BUILDDISTANT service (y/n, default is n)? Do you want to allow LOADDISTANT service (y/n, default is n)? Do you want to allow RLIS service (y/n, default is n)? Do you want to allow TFTP (bootp server) service (y/n, default is y)? CSTA (CCD, 4980) ; voir Note. Les machines de gestion 47xx (30/40/55/60) utilisant le save/restore entre des nœuds 4400 et elles-mêmes. Utilisé pour test. Peut être dévalidé sans conséquence. Utilisé entre 4400 pour le process d audit (en connexion IP directe ou via le tunnel). Va de paire avec le loaddistant. Utilisé entre 4400 pour le process d audit (en connexion IP directe ou via le tunnel). Va de paire avec le builddistant. Utilisé en pays "Russie" pour un service spécifique d écoutes. Utilisé entre 4400 pour une installation complète avec formatage de disque (application non totalement opérationnelle à la date de ce document). Ce service peut être dévalidé sans conséquence. Ed. 10-04-2002 9 TC0308

OmniPCX 4400 PRÉCAUTIONS CONTRE LES INTRUSIONS Note En Release 4 (Chorus 16.9), le service rcsta ne passe plus par le deamon inetd (process du 4400). Il n apparaît donc plus dans la liste des services, sauf si les données netadmin proviennent d anciennes releases. Dans ce cas, supprimer le trusted host, faire un apply (touche a) puis re-gérer ce host. Une adresse IP non intégrée dans les trusted hosts ne peut pas faire de ping sur OmniPCX 4400 (pas de route IP). Une adresse IP gérée en trusted hosts mais avec tous les services dévalidés pourra joindre OmniPCX 4400 (route présente, ping possible, scan possible). TC0308 10 Ed. 10-04-2002

PRÉCAUTIONS CONTRE LES INTRUSIONS OmniPCX 4400 4 LISTE DES PORTS OUVERTS SUR OmniPCX 4400 ET LEUR UTILISATION icmp Ports N Port Description des services Scripts du 4400, maintenance Ports TCP ftp 21 telnet 23 shell 514 login 513 Services propriétaires Alcatel : netaccess 2533 CMISD/ABCA accès réseau pad 2534 PAD X25 cmisd 2535 CMISD serveur saverest 2536 Application Save/Restore acd 2538 CCD (ACDV2) builddistant 2539 Process d audit loaddistant 2540 Process d audit auditres1 2541 Audit : réservé auditres2 2542 Audit : réservé acdccs 2543 ACD terminal server acdpcag 2544 ACD PC agent suprout 2545 Application suproutage sur PC alb 2546 ACD Agent List Builder rtest 2554 Non Utilisé rcsta 2555 ASN-1 CSTA accès serveur redundancy 2558 Duplication CPU sur Ethernet rlis 2560 LIS server ahltcp 2561 AHL (lien hospitalier) sur Ethernet dhcdupli 2562 Duplication DHCP, ouvert sur CPU Stand-By servobs 2565 Observation Server servobs_c 2566 Observation Server Client securidprop 5510 ACE/server Secure-id sdlog 5520 ACE/server Secure-id sdserv 5530 ACE/server Secure-id Ed. 10-04-2002 11 TC0308

OmniPCX 4400 PRÉCAUTIONS CONTRE LES INTRUSIONS Ports N Port Description des services Ports UDP bootps 67 Si process bootp lancé bootpc 68 Si dhcpd est lancé tftp 69 ntp 123 Network Time Protocol : utilisé pour synchroniser les clients ccview (CCD) et le PABX snmp 161 Si activation des traps snmp syslog 514 Si process syslog est lancé route 520 Si le process de routage IP routed ou gated est lancé Services propriétaires Alcatel : hybrid-vpn 2556 Lien hybride VPN sur UDP notif-gsm 2557 Si GSM Notification Server rsl 2559 Port socket RSL (ouvert si gated est lancé en protocole RSL) dhcdupli_m 2563 Duplication DHCP sur CPU Main dhcdupli_s 2564 Duplication DHCP sur CPU Main secured 5500 Si ACE/server Secure-id TC0308 12 Ed. 10-04-2002

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back